加密入门（三）：TrueCrypt（转）

http://terrychen.info/encryption-truecrypt/

TrueCrypt 是一款功能强大的开源加密工具，利用 TrueCrypt 可以创建一个加密文件作为虚拟加密卷，将需要保护的文件保存在这个加密文件之中，也可以对硬盘分区进行加密，甚至是对系统分区进行加密。

下面我们一起来认识一下强大的 TrueCrypt。

1. 下载安装 TrueCrypt

首先到官方网站下载 TrueCrypt，进入下载页面之后，在 “Windows 7/Vista/XP/2000” 下方点击 Download 按钮下载 Windows 版本。

安装过程是英文界面，请按照以下的步骤进行安装：

1. 运行下载的安装程序，进入“License”（授权）页面，勾选授权文本下方的“I accept and agree to be bound by the license terms”（我同意并接受授权协议的约束）复选框，点击“Accept”（接受）即可。
2. 进入“Wizard Mode”（向导模式）页面。可供选择的选项有以下两个：
   • Install（安装模式）：正常安装 TrueCrypt，将向注册表中写入相关信息并且创建快捷方式。
   • Extract（解压模式）：将 TrueCrypt 解压到指定文件夹，不会向计算机中写入任何信息，执行 TrueCrypt.exe 即可运行 TrueCrypt。
3. 假如上一步选择 Install 选项，点击 Next进入“Setup Mode”（安装模式）页面，请参照下图文字说明进行设置，设置完成点击 Install（安装）即可开始安装。
   
4. 假如上一步选择 Extract 选项，安装程序将弹出对话框要求确认，文字大意是：假如选择 Extract 选项进行安装，TrueCrypt 每次启动都必须以 Portable Mode（移动模式）运行，因此每次运行时都必须以管理员身份启动，而且触发 UAC（用户帐户控制）提示。确认之后进入下一页面，选择解压路径之后点击“Extract”开始解压。

安装完成后请到 http://www.truecrypt.org/localizations 下载简体中文语言包，下载后解压到 TrueCrypt 的安装目录中，然后运行 TrueCrypt，选择“Setting”菜单中的“Language”选项，在弹出的对话框中选择“简体中文”即可。

2. 创建挂载加密文件/分区

创建加密文件/分区是 True Crypt 最基本的加密功能，两者统称为加密卷。在创建方法和使用方法上两者并无太大区别。

按照下述步骤创建加密卷。

1. 运行 TrueCrypt，选择“加密卷”菜单中的“创建加密卷”选项，TrueCypt 将弹出加密卷创建向导对话框。此处有三个选项可供选择：
   • 创建文件型加密卷：创建加密文件，将机密数据保存在某个加密文件中。
   • 加密非系统分区/设备：创建加密分区，将机密数据保存在某个加密分区中。
   • 加密系统分区或者整个系统所在硬盘：将整个系统分区进行加密，在开机之前需要输入密码。

   选择第一项或者第二项，点击下一步继续。

2. 进入“卷类型”页面，此处有两个选项可供选择：
   • 标准TrueCrypt加密卷
   • 隐藏的TrueCrypt加密卷

   这里选择第一项，后文将对隐藏加密卷这一功能做介绍。点击下一步继续。

3. 如果之前选择的是“创建文件型加密卷”，现在就进入“加密卷位置”页面，在此选择存放加密卷文件的位置，由于 TrueCrypt 允许你使用任何扩展名，你可以使用 .doc 等常见扩展名进行伪装，设置完成之后点击下一步继续。
4. 如果之前选择的是“加密非系统分区/设备”，现在同样进入“加密卷位置”页面，不过选择的是需要加密的设备，选择设备之后需要设置“加密卷创建方式”，包括“创建加密卷并格式化”和“就地加密分区”两个选项，设置完成之后点击下一步继续。
5. 现在进入“加密选项”页面，在此可以选择加密算法和哈希算法，默认的设置是 AES 加密算法和 RIPEMD-160 哈希算法，建议保留默认设置即可，设置完毕点击下一步继续。
6. 进入“加密卷大小”页面，如果创建文件型加密卷在此可以指定加密卷的大小，加密卷大小实际上就是加密卷的最大容量，请按照自己的需要和数据大小进行设置，点击下一步继续。
7. 进入“加密卷密码”页面，在此可以选择两种不同的解密方式：密码和密钥文件。两种解密方式可以叠加，设置完毕点击下一步继续。
8. 进入“加密卷格式化”页面，在此可以设置加密卷的文件系统类型、簇大小。如果之前选择的是“创建文件型加密卷”，此处可以设置是否动态卷，动态卷是指加密文件的大小根据数据容量自动扩展。如果之前选择的是“加密非系统分区/设备”，此处可以设置是否快速格式化，设置完成点击“格式化”按钮即可开始创建加密卷的过程。

加密卷需要挂载才能使用，请按以下步骤进行挂载：

1. 在 TrueCrypt 主界面点击“加载文件”或“加载设备”按钮，选择加密文件或者加密分区。
2. 在盘符列表中选择某个空闲的盘符，点击下方的“加载”按钮。
3. 按照预设的解密方式输入密码或提供密钥文件进行解密。
4. 如果有需要，点击对话框中的“加载选项”按钮，可以进一步调整加载设置。
   

挂载完成之后在资源管理器就可以看到加密卷了，使用加密卷与使用普通分区无异，解密处理自动在后台进行，对用户透明。

使用完这个加密卷之后请在 TrueCrypt 主界面下方点击“卸载”按钮卸载这一加密卷，以确保数据安全。

假如你需要修改加密卷密码的话，请先将加密卷卸载，然后点击“加密卷工具”按钮，在菜单中选择“更改加密卷密码”，然后在弹出的对话框中更改密码即可。

3. 创建挂载隐藏加密卷

隐藏加密卷是一种迷惑入侵者、隐藏加密数据的方法，即是通过在加密卷中隐藏另一个加密卷来保护保密数据，如果你被强迫要求提供加密卷密码，可以提供外层加密卷密码，入侵者不能证明存在隐藏加密卷。

创建隐藏加密卷的步骤实际上与创建普通加密卷很类似，在创建加密卷向导第二步选择创建隐藏加密卷，然后选择创建隐藏加密卷模式，有以下两种模式可供选择：

• 常规模式：首先创建一个普通加密卷作为外层加密卷，然后创建内层隐藏加密卷。
• 直接模式：利用已经创建的普通加密卷作为外层加密卷，然后创建内层隐藏加密卷。

此后步骤与创建普通加密卷类似，请按照向导操作即可。

挂载隐藏加密卷的方法是直接输入隐藏加密卷的密码，也就是说，载入的加密卷是外层加密卷还是隐藏加密卷是依靠输入的密码来决定的，而非先载入外层加密卷，再载入隐藏加密卷。

由于隐藏加密卷和外层加密卷共用空间，所以向外层加密卷写入数据可能破坏隐藏加密卷，所以在隐藏加密卷创建完成之后不要再修改外层加密卷的内容，如果需要修改请在挂载时对隐藏加密卷进行保护，以免导致隐藏加密卷被破坏。方法如下：

在挂载外层加密卷输入密码时，点击“加载选项”，在弹出的“加载选项”对话框中选择“向外层加密卷写入数据时保护隐藏加密卷”，然后输入隐藏加密卷密码加载即可对隐藏加密卷进行写入保护。但是应该注意的是保护隐藏加密卷会使别人很容易发现隐藏加密卷，因为 TrueCrypt 中显示的加密卷类型是“外层”。

4. 加密系统分区

在对系统分区进行加密之前请做好以下的准备工作：

• 准备一张空白光盘以刻录 TrueCrypt 应急盘，或者安装虚拟光驱软件。
• 确认 TrueCrypt 为安装版。

请按照以下步骤进行设置：

1. 启动“创建加密卷”向导，选择“加密系统分区或者系统所在硬盘”选项，点击“下一步”继续。
2. 进入“系统加密类型”页面，此处有两个选项可供选择：
   • 常规：直接对系统分区或整个硬盘进行加密。
   • 隐藏：创建隐藏操作系统，类似于隐藏加密卷。

   此处我们选择第二项，点击下一步继续。

3. 进入“要加密的区域”页面，此处有两个选项可供选择：
   • 加密 Windows 所在的分区：仅仅加密 Windows 安装所在的分区，通常是指C盘。
   • 加密整个硬盘：将安装 Windows 的硬盘进行加密。

   请根据自己的需要选择，点击“下一步”继续。

4. 假如刚才选择加密整个硬盘，向导将询问是否加密主机保护区域，建议选择“否”，点击下一步继续。
5. 现在进入“操作系统数目”页面，请根据实际情况选择“单系统”或者“多重启动”（建议多重启动用户不要使用此类加密），点击下一步继续。
6. 此后几个步骤与创建普通加密卷相同，包括选择加密算法和输入密码等等，根据向导设置即可。
7. 现在 TrueCrypt 会要求刻录 TrueCrypt 应急盘，必须刻录之后才能继续。如果不想刻录的话使用虚拟光驱挂载镜像文件即可，验证光盘完毕之后点击“下一步”。
8. 现在 TrueCrypt 会询问擦除模式，可选选项为“不擦除”、“3 次擦除”、“7 次擦除”和“35 次擦除”，擦除次数越多，数据安全性越好，但耗费时间就越长，设置完成后点击“下一步”。
9. 现在 TrueCrypt 会对系统进行预测试，点击“测试”按钮重启计算机进行测试，重启后 Windows 启动之前会要求输入密码。
10. 进入系统之后 TrueCrypt 会提示可以开始加密，注意开始加密之后无法中途取消，只能暂停或者推迟加密操作。
11. 加密完成，以后每次开机都需要输入密码才能使用操作系统。

假如你需要对加密的系统进行解密的话，运行 TrueCrypt，选择“系统”菜单中的“永久解密系统分区/驱动器”，确认之后即可开始解密。

TrueCrypt 是一个既专业又易用的加密软件，可以为本机的机密数据提供高质量的加密保护，推荐对数据安全有较高要求的朋友使用。

本文历史：

• 2011 年 3 月 20 日：初稿完成
• 2011 年 8 月 13 日：精简文字，调整结构

加密入门系列：

• 加密入门系列序言
• 加密入门（一）：EFS
• 加密入门（二）：BitLocker
• 加密入门（三）：TrueCrypt
• 加密入门（四）：Gpg4win